На днях на официальной страничке в Твиттер DeFi-проекта Poly Network разработчики сообщили о том, что их платформа была взломана. Киберпреступникам удалось завладеть рекордной для данного класса приложений суммой – на адреса Ethereum, BSC и Polygon было выведено криптовалютных активов более чем на $600 млн.
Poly Network позиционируется как протокол, поддерживающий широкий спектр блокчейнов. На этой децентрализованной платформе можно обменять цифровые монеты, взять или отдать взаймы криптовалюту, а также работать со стейблкоинами. В настоящее время платформа имеет связь с Bitcoin, Ethereum, BSC и другими блокчейнами.
Как это произошло
Атаку киберпреступник провел через пул торговли криптовалютами под названием O3 Swap. Разработчики утверждают, что уже нашли уязвимость, благодаря которой это стало возможно.
Как только стало известно о хищении средств, команда проекта обратилась к криптовалютным площадкам и майнерам с требованием включить в черный список украденные монеты и стейблкоины, среди которых USDC, USDT, SHIB, и другие.
Несмотря на то, что злоумышленнику удалось вывести средства с платформы, некоторые компании, к которым обратилась Poly, оперативно заблокировали их. Например, так сделали в Tether. Поэтому некоторые попытки отмыть попавшие в черный список токены USDT через DeFi-приложения провалились.
Злоумышленник выявлен
Несмотря на предпринятые Poly усилия и помощь со стороны многих пользователей сети, киберпреступнику все же удалось произвести обмен значительной части похищенных средств. По понятным причинам ему не удалось этого сделать с централизованными стейблкоинами.
В попытке установить контакт с хакером и вернуть монеты команда проекта разместила для него сообщение следующего содержания:
«Вам удалось похитить самую большую за все время существования DeFi сумму. Правоохранительные органы любой страны трактуют такие действия как хищение в особо крупных размерах и наверняка будут вас преследовать. Пытаться проводить дальнейшие транзакции неразумно. Похищенные средства принадлежат десяткам тысяч участникам сообщества, то есть простым людям».
Вскоре после этого одна из компаний, специализирующихся на кибербезопасности, сообщила об успешной идентификации адреса электронной почты, IP-адреса и даже отпечатка пальца с мобильного устройства похитителя. Такого результата им удалось достичь, анализируя данные, полученные как с блокчейна, так и собранные вне его. К работе были привлечены ряд сторонних компаний и обменных площадок. Предположительно, отследить преступника удалось потому, что активы DeFi имели привязку к централизованным пользователям.
Оказавшись раскрытым, хакер оставил следующий комментарий к одной из транзакций:
«Я бы мог украсть и миллиард, если бы взял остальные мусорные монеты! Но я спас проект. Делал это не ради денег. Сейчас думаю, вернуть ли часть токенов или просто бросить здесь».
Источник: https://bitcoinist.com
Комментарии